Reporting Engine:Reporting Engineのデータ プライバシーの構成

Document created by RSA Information Design and Development on Feb 17, 2017Last modified by RSA Information Design and Development on Feb 17, 2017
Version 2Show Document
  • View in full screen mode
  

このトピックでは、[サービス]>[表示]>[構成]ビューの[ソース]タブを使用した、Reporting Engineのデータ ソースの構成について説明します。

Security Analytics 10.6以降でデータ プライバシー機能を使用すると、SAコア サービスの機微性が高いメタへのアクセスを制限できます。そのためには、DPO(Data Privacy Officer)とDPO以外のユーザーのデータ ソースを個別に構成し、それぞれに適切な権限を割り当てることでデータ ソースへのアクセスを制限します。

[サービス]の[構成]ビューでは、各Coreサービスを、2つの個別のデータ ソースとして、つまりDPOと同等の権限が付与されたサービス アカウントを持つデータ ソース、および他のユーザーと同等の権限が付与されたサービス アカウントを持つデータ ソースとして追加できます。その後、こうしたデータ ソースへのアクセスをロールに基づいて制限するために、ロールごとにデータ ソースに対して読み取りアクセスまたはアクセス不可を割り当てることができます。Warehouseデータ ソースへのアクセスを制限する場合も、同じ操作が可能です。

詳細については、以下のトピックを参照してください:データ ソースの権限の構成.

注:Data_Privacy_Officersロール(または、同等のカスタム ロール)に割り当てられたユーザーは、アラートを作成し、Reportingモジュールでレポートまたはアラートの出力アクションを構成できます。Security Analyticsのデータ プライバシー機能が有効で、1つ以上のメタ キーが「保護済み」として構成されている環境における、これらのアクションによる影響を次に示します。
- DPOユーザーがアラートを作成すると、そのアラートに関連する保護されたメタまたは機微性の高いメタが、インシデント管理で自動的に利用可能になります。これにより、インシデント管理モジュールのすべてのユーザーが、自身のロールに関係なく、機微性の高いメタ値にアクセスできるようになってしまうことがあります。これを回避する1つのオプションが、ReportingからIncident Managementへの発行を無効にすることです。
- 出力アクションがDPOユーザーによって構成されている場合、ターゲット ユーザーまたはその出力アクションの対象は、ターゲット ユーザーに割り当てられているロールに関係なく、機微性の高いメタ値または機微性の高いメタ値が含まれるレポートのいずれか、あるいはその両方を使用できます。
DPOユーザーがアラートを作成したり、Reportsモジュールでレポートまたはアラートに対して出力アクションを構成したりすることは避けるよう強くお勧めします。このように構成する場合は、前述の影響を慎重に検討する必要があります。

Security Analytics Coreサービス(Concentrator、Broker、Archiverなど)では、構成済みユーザー ロールに基づいてメタ データを制限する機能がサポートされています。Reporting Engineのデータ プライバシー機能を利用するには、コアに対して2つのサービス アカウントを個別に構成できます。1つは機微データが含まれない汎用的なレポート作成用のサービス アカウントで、もう1つは、機微データを含めたすべてのデータにアクセスできる特権ユーザー用のアカウントです。制限されたメタ データに対する2つのサービス アカウントのアクセスは、各コア サービスのデータ プライバシー計画の一環として構成されます。

Reporting Engineでは、各コア サービスを2つの個別のサービス アカウントを使用して、2つの個別のデータ ソース(通常のデータソースと特権データ ソース)として追加できます。Reporting Engineは、特権ロールが割り当てられたユーザーのみが機微データを含むデータソースにアクセスできるよう構成できます。したがって、Reporting Engineは、次の2つの方法でNWDBデータ ソースに接続できます。

  • DPOのロールを持つサービス アカウントを使用する。
  • DPOのロールを持たないサービス アカウントを使用する。

注:また、同じコア サービスに対して複数のデータ ソースを追加することもできます。

同じコア サービスに対して異なるサービス アカウントを持つ2つのデータ ソースを追加すると、そのデータ ソースへのアクセスを管理するようにデータ ソースの権限を構成できます。詳細については、以下のトピックを参照してください:データ ソースの権限の構成.

注:変換されたメタ キーを使用するようにコンテンツが変更されている場合、レポート、チャート、アラートを表示すると、元のメタのハッシュ値が代わりに表示されます。

さまざまなサービス アカウントでのNWDBデータ ソースの追加

さまざまなサービス アカウントでのNWDBデータ ソースを追加するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]パネルで、Reporting Engineサービスを選択します。
  3. >[表示]>[構成]をクリックします。

    Reporting Engineサービスの[構成]ビューが表示されます。

  4. ソース]タブを選択します。

    Reporting Engineの[ソース]タブが開いた状態で、[サービス]の[構成]ビューが表示されます。

  5. をクリックし、[使用可能なサービス]を選択します。

    [使用可能なサービス]ダイアログが表示されます。Reporting Engineにすでに追加されているサービスを含め、すべてのサービスが表示されます。

  6. 必要なサービスを選択して[OK]をクリックします。

    選択したサービスの[サービス情報]ダイアログが表示されます。

    注:選択したサービスに対するユーザー名とパスワードを入力するよう求められます。機微データに対するアクセスを制限するには、DPOユーザーは、ソースを追加しているときに、管理者の認証情報ではなく自身の認証情報を使用する必要があります。これらの認証情報は、Security AnalyticsサーバとSecurity Analytics Coreホストの間で信頼関係接続を使用していても、ホストに適用する必要があります。

    DPO以外のデータ ソースについて、ステップを繰り返します。

  7. 必要なサービス アカウントのユーザー名とパスワードを入力します。
  8. OKをクリックします。

    必要なサービスが、データ ソースとしてReporting Engineに追加されました。同じコア デバイスに対して、2つのデータ ソースがReporting Engineに追加されています。

次のステップ

同じコア デバイスに対して異なるサービス アカウントを持つ複数のデータ ソースを追加すると、そのデータ ソースへのアクセスを管理するようにデータ ソースの権限を構成できます。

You are here
Table of Contents > 追加の手順 > Reporting Engineのデータ プライバシーの構成

Attachments

    Outcomes